Esaminare e applicare i suggerimenti sui ruoli per progetti, cartelle e organizzazioni

Questa pagina spiega come visualizzare, comprendere e applicare i consigli sui ruoli per progetti, cartelle e organizzazioni. I suggerimenti sui ruoli ti aiutano ad applicare il principio del privilegio minimo assicurando che le entità dispongano solo delle autorizzazioni di cui hanno effettivamente bisogno.

Prima di iniziare

Ruoli IAM obbligatori

Questa sezione descrive i ruoli e le autorizzazioni IAM di cui hai bisogno per utilizzare i consigli sui ruoli.

Visualizza i suggerimenti

Per ottenere le autorizzazioni necessarie per visualizzare i consigli sui ruoli, chiedi all'amministratore di concederti i seguenti ruoli IAM per la risorsa per cui vuoi visualizzare i consigli (progetto, cartella o organizzazione):

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per visualizzare i consigli sui ruoli. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per visualizzare i consigli sui ruoli sono necessarie le seguenti autorizzazioni:

  • iam.roles.get
  • iam.roles.list
  • recommender.iamPolicyRecommendations.get
  • recommender.iamPolicyRecommendations.list
  • recommender.iamPolicyInsights.get
  • recommender.iamPolicyInsights.list
  • recommender.iamPolicyLateralMovementInsights.get
  • recommender.iamPolicyLateralMovementInsights.list
  • Per visualizzare i consigli nella console Google Cloud: resourcemanager.RESOURCE.getIamPolicy, dove RESOURCE è il tipo di risorsa per cui vuoi visualizzare i consigli (projects, folders o organizations)

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Applicare e ignorare i consigli

Per ottenere le autorizzazioni necessarie per visualizzare, applicare e ignorare i consigli sui ruoli, chiedi all'amministratore di concederti i seguenti ruoli IAM per la risorsa per cui vuoi gestire i consigli (progetto, cartella o organizzazione):

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per visualizzare, applicare e ignorare i consigli sui ruoli. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per visualizzare, applicare e ignorare i consigli sui ruoli sono necessarie le seguenti autorizzazioni:

  • iam.roles.get
  • iam.roles.list
  • recommender.iamPolicyRecommendations.get
  • recommender.iamPolicyRecommendations.list
  • recommender.iamPolicyInsights.get
  • recommender.iamPolicyInsights.list
  • recommender.iamPolicyLateralMovementInsights.get
  • recommender.iamPolicyLateralMovementInsights.list
  • recommender.iamPolicyRecommendations.update
  • resourcemanager.RESOURCE.getIamPolicy, dove RESOURCE è il tipo di risorsa per cui vuoi gestire i consigli (projects, folders o organizations)
  • resourcemanager.RESOURCE.setIamPolicy, dove RESOURCE è il tipo di risorsa per cui vuoi gestire i consigli (projects, folders o organizations)

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Revisione e applicazione dei suggerimenti

Il modo più semplice per esaminare e applicare i consigli è utilizzare la console Google Cloud. Inoltre, se vuoi creare automaticamente un ruolo personalizzato quando applichi un consiglio, devi utilizzare la console Google Cloud.

Puoi anche esaminare e applicare i consigli con Google Cloud CLI e l'API Recommender.

Console

  1. Nella console Google Cloud, vai alla pagina IAM.

    Vai a IAM

  2. Seleziona un progetto, una cartella o un'organizzazione.

  3. Nell'elenco delle entità che hanno accesso al tuo progetto, individua la colonna Approfondimenti sulla sicurezza.

    Per ogni ruolo concesso a un principale, questa colonna mostra eventuali approfondimenti relativi alla sicurezza. Questi approfondimenti mettono in evidenza i pattern di accesso alle risorse da parte delle tue entità. Ad esempio, alcuni approfondimenti evidenziano le autorizzazioni in eccesso o le autorizzazioni di cui un entità non ha bisogno. Altri approfondimenti mettono in evidenza gli account di servizio con funzionalità di movimento laterale:

    Se è disponibile un consiglio per risolvere un'intuizione, la console Google Cloud mostra l'icona Consiglio disponibile .

  4. Se ci sono consigli da esaminare, fai clic sull'icona Consiglio disponibile per visualizzarne i dettagli.

    Se il consiglio è di sostituire il ruolo, viene sempre suggerito un insieme di ruoli predefiniti che puoi applicare.

    In alcuni casi, il suggerimento di ruolo suggerisce anche di creare un nuovo ruolo personalizzato a livello di progetto. Se è disponibile un consiglio per un ruolo personalizzato, la console Google Cloud lo mostra per impostazione predefinita. Per passare al suggerimento di ruolo predefinito, fai clic su Visualizza ruolo predefinito consigliato.

  5. Esamina attentamente il consiglio e assicurati di capire in che modo cambierà l'accesso dell'entità alle risorse Google Cloud. Ad eccezione dei consigli per gli agenti di servizio, un consiglio non aumenterà mai il livello di accesso di un principale. Per ulteriori informazioni, consulta Come vengono generati i consigli sui ruoli.

    Per scoprire come esaminare i consigli nella console, vedi Esaminare i consigli in questa pagina.

  6. (Facoltativo) Se il consiglio è di creare un ruolo personalizzato, aggiorna Titolo, Descrizione, ID e Fase di lancio del ruolo in base alle esigenze.

    Se devi aggiungere autorizzazioni al ruolo personalizzato, fai clic su Aggiungi autorizzazioni.

    Se devi rimuovere le autorizzazioni dal ruolo personalizzato, deseleziona la casella di controllo corrispondente a ogni autorizzazione da rimuovere.

  7. Intervieni in base al consiglio.

    Per applicare il consiglio, fai clic su Applica o Crea e applica. Se cambi idea nei prossimi 90 giorni, utilizza la cronologia dei consigli per ripristinare la tua scelta.

    Per ignorare il consiglio, fai clic su Ignora e poi conferma la tua scelta. Puoi ripristinare un consiglio ignorato, a condizione che il consiglio sia ancora valido.

  8. Ripeti i passaggi precedenti finché non hai esaminato tutti i consigli.

gcloud

Esamina i consigli:

Per elencare i consigli, esegui il comando gcloud recommender recommendations list:

gcloud recommender recommendations list \
    --location=global \
    --recommender=google.iam.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --format=json

Sostituisci i seguenti valori:

  • RESOURCE_TYPE: il tipo di risorsa per la quale vuoi elencare i consigli. Utilizza il valore project, folder o organization.
  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi elencare i consigli. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.

La risposta è simile al seguente esempio. In questo esempio, un account di servizio non ha utilizzato alcuna autorizzazione del ruolo Amministratore Compute (roles/compute.admin) negli ultimi 90 giorni. Di conseguenza, il suggerimento per il ruolo ti consiglia di revocare il ruolo:

[
  {
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839"
      }
    ],
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilter": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "serviceAccount:id-1234567890@example-project.iam.gserviceaccount.com",
                "/iamPolicy/bindings/*/role": "roles/compute.admin"
              },
              "resource": "//cloudresourcemanager.googleapis.com/projects/example-project",
              "resourceType": "cloudresourcemanager.googleapis.com/Project"
            }
          ]
        }
      ]
    },
    "description": "This role has not been used during the observation window.",
    "recommenderSubtype": "REMOVE_ROLE",
    "etag": "\"770237e2c0decf40\"",
    "lastRefreshTime": "2020-01-09T06:06:17Z",
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 708
        }
      }
    },
    "priority": "P4",
    "stateInfo": {
      "state": "ACTIVE"
    }
  }
]

Esamina attentamente ogni consiglio e valuta in che modo cambierà l'accesso dell'entità alle risorse Google Cloud. Per scoprire come esaminare i consigli dallgcloud CLI, consulta la sezione Esaminare i consigli in questa pagina.

Per applicare un consiglio:

  1. Utilizza il comando gcloud recommender recommendations mark-claimed per impostare lo stato del consiglio su CLAIMED,, in modo da impedire la sua modifica durante l'applicazione:

    gcloud recommender recommendations mark-claimed \
    RECOMMENDATION_ID \
    --location=global \
    --recommender=google.iam.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA

    Sostituisci i seguenti valori:

    • RECOMMENDATION_ID: l'identificatore univoco del consiglio. Questo valore viene visualizzato alla fine del campo name nel consiglio. Nell'esempio riportato sopra, l'ID è fb927dc1-9695-4436-0000-f0f285007c0f.
    • RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire i consigli. Utilizza il valore project, folder o organization.
    • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi gestire i consigli. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
    • FORMAT: il formato della risposta. Utilizza json o yaml.
    • ETAG: il valore del campo etag nel consiglio, ad esempio "dd0686e7136a4cbb". Tieni presente che questo valore può includere virgolette.
    • STATE_METADATA: facoltativo. Coppie chiave-valore separate da virgole che contengono la tua scelta di metadati sul consiglio. Ad esempio, --state-metadata=reviewedBy=alice,priority=high. I metadati sostituiscono il campo stateInfo.stateMetadata nel consiglio.

    Se il comando va a buon fine, la risposta mostra il consiglio in uno stato CLAIMED, come mostrato nell'esempio seguente. Per chiarezza, l'esempio omette la maggior parte dei campi:

    [
  {
    "description": "This role has not been used during the observation window.",
    "recommenderSubtype": "REMOVE_ROLE",
    "etag": "\"df7308cca9719dcc\"",
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "stateInfo": {
      "state": "CLAIMED",
      "stateMetadata": {
        "reviewedBy": "alice",
        "priority": "high"
      }
    }
  }
]

  2. Ottieni il criterio di autorizzazione per il progetto, quindi modifica e imposta il criterio di autorizzazione in modo che rifletta il consiglio.

  3. Aggiorna lo stato del consiglio su SUCCEEDED se hai potuto applicarlo o su FAILED se non è stato possibile applicarlo:

    gcloud recommender recommendations COMMAND \
    RECOMMENDATION_ID \
    --location=global \
    --recommender=google.iam.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA

    Sostituisci i seguenti valori:

    • COMMAND: utilizza mark-succeeded se hai potuto applicare il consiglio oppure mark-failed se non hai potuto applicarlo.

    • RECOMMENDATION_ID: l'identificatore univoco del consiglio. Questo valore viene visualizzato alla fine del campo name nel consiglio. Nell'esempio riportato sopra, l'ID è fb927dc1-9695-4436-0000-f0f285007c0f.
    • RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire i consigli. Utilizza il valore project, folder o organization.
    • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi gestire i consigli. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
    • FORMAT: il formato della risposta. Utilizza json o yaml.
    • ETAG: il valore del campo etag nel consiglio, ad esempio "dd0686e7136a4cbb". Tieni presente che questo valore può includere virgolette.
    • STATE_METADATA: facoltativo. Coppie chiave-valore separate da virgole che contengono la tua scelta di metadati sul consiglio. Ad esempio, --state-metadata=reviewedBy=alice,priority=high. I metadati sostituiscono il campo stateInfo.stateMetadata nel consiglio.

    Ad esempio, se hai contrassegnato il consiglio come riuscito, la risposta mostra il consiglio in stato SUCCEEDED. Per chiarezza, questo esempio omette la maggior parte dei campi:

    [
  {
    "description": "This role has not been used during the observation window.",
    "recommenderSubtype": "REMOVE_ROLE",
    "etag": "\"dd0686e7136a4cbb\"",
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "stateInfo": {
      "state": "SUCCEEDED",
      "stateMetadata": {
        "reviewedBy": "alice",
        "priority": "high"
      }
    }
  }
]

REST

Queste istruzioni presuppongono che tu abbia effettuato l'autenticazione e impostato la variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS.

Esamina i consigli:

Per elencare tutti i consigli disponibili per il tuo progetto, la tua cartella o la tua organizzazione, utilizza il metodo recommendations.list dell'API Recommender.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire i consigli. Utilizza il valore projects, folders o organizations.
  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi gestire i consigli. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
  • PAGE_SIZE: facoltativo. Il numero massimo di risultati da restituire da questa richiesta. Se non viene specificato, il server determinerà il numero di risultati da restituire. Se il numero di consigli è superiore alle dimensioni della pagina, la risposta contiene un token di paginazione che puoi utilizzare per recuperare la pagina successiva dei risultati.
  • PAGE_TOKEN: facoltativo. Il token di pagina restituito in una risposta precedente di questo metodo. Se specificato, l'elenco dei consigli inizierà dove è terminata la richiesta precedente.
  • FILTER: facoltativo. Un'espressione di filtro per limitare i consigli restituiti. Puoi filtrare i consigli in base al campo stateInfo.state. Ad esempio, stateInfo.state:"DISMISSED" o stateInfo.state:"FAILED".
  • PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

Metodo HTTP e URL: 

GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN&filter=FILTER

Per inviare la richiesta, espandi una di queste opzioni:

La risposta è simile al seguente esempio. In questo esempio, un account di servizio nel progetto example-project non ha utilizzato alcuna autorizzazione del ruolo Amministratore di Compute (roles/compute.admin) negli ultimi 90 giorni. Di conseguenza, il motore per suggerimenti ti consiglia di revocare il ruolo: 

{
  "recommendations": [
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "description": "This role has not been used during the observation window.",
    "lastRefreshTime": "2020-01-09T06:06:17Z",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 708
        }
      }
    },
    "priority": "P4",
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilter": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "serviceAccount:id-1234567890@example-project.iam.gserviceaccount.com",
                "/iamPolicy/bindings/*/role": "roles/compute.admin"
              },
              "resource": "//cloudresourcemanager.googleapis.com/projects/example-project",
              "resourceType": "cloudresourcemanager.googleapis.com/Project"
            }
          ]
        }
      ]
    },
    "stateInfo": {
      "state": "ACTIVE"
    }
    "etag": "\"770237e2c0decf40\"",
    "recommenderSubtype": "REMOVE_ROLE",
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839"
      }
  ]
}

Esamina attentamente ogni consiglio e valuta in che modo cambierà l'accesso dell'entità alle risorse Google Cloud. Per scoprire come esaminare i consigli dall'API REST, consulta la sezione Esaminare i consigli in questa pagina.

Per applicare un consiglio:

  1. Contrassegna il consiglio come CLAIMED:

    Per contrassegnare un consiglio come CLAIMED, in modo da impedirne la modifica durante l'applicazione, utilizza il metodo recommendations.markClaimed dell'API Recommender.

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire i consigli. Utilizza il valore projects, folders o organizations.
    • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi gestire i consigli. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
    • RECOMMENDATION_ID: l'identificatore univoco per il consiglio. Questo valore viene visualizzato alla fine del campo name nel consiglio. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID consiglio è fb927dc1-9695-4436-0000-f0f285007c0f.
    • ETAG: il valore del etag campo nel consiglio, ad esempio "dd0686e7136a4cbb". Utilizza i backslash per eseguire l'escapismo delle virgolette, ad esempio "\"df7308cca9719dcc\"".
    • STATE_METADATA: facoltativo. Un oggetto che contiene coppie chiave/valore con la tua scelta di metadati sul consiglio. Ad esempio, {"reviewedBy": "alice", "priority": "high"}. I metadati sostituiscono il stateInfo.stateMetadata campo nel consiglio.
    • PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

    Metodo HTTP e URL: 

    POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed

    Corpo JSON della richiesta: 

    {
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}

    Per inviare la richiesta, espandi una di queste opzioni:

    La risposta mostra il consiglio in uno stato CLAIMED, come mostrato nell'esempio seguente. Per chiarezza, questo esempio omette la maggior parte dei campi: 

    {
  "description": "This role has not been used during the observation window.",
  "stateInfo": {
    "state": "CLAIMED",
    "stateMetadata": {
      "reviewedBy": "alice",
      "priority": "high"
    }
  },
  "etag": "\"dd0686e7136a4cbb\"",
  "recommenderSubtype": "REMOVE_ROLE"
}

  2. Ottieni il criterio di autorizzazione per il progetto, quindi modifica il criterio di autorizzazione in modo che rifletta il consiglio.

  3. Aggiorna lo stato del consiglio su SUCCEEDED se hai potuto applicarlo o su FAILED se non è stato possibile applicarlo:

    SUCCEEDED

    Per contrassegnare un consiglio come SUCCEEDED, a indicare che hai potuto applicarlo, utilizza il metodo recommendations.markSucceeded dell'API Recommender.

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire i consigli. Utilizza il valore projects, folders o organizations.
    • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi gestire i consigli. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
    • RECOMMENDATION_ID: l'identificatore univoco per il consiglio. Questo valore viene visualizzato alla fine del campo name nel consiglio. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID consiglio è fb927dc1-9695-4436-0000-f0f285007c0f.
    • ETAG: il valore del etag campo nel consiglio, ad esempio "dd0686e7136a4cbb". Utilizza i backslash per eseguire l'escapismo delle virgolette, ad esempio "\"df7308cca9719dcc\"".
    • STATE_METADATA: facoltativo. Un oggetto che contiene coppie chiave/valore con la tua scelta di metadati sul consiglio. Ad esempio, {"reviewedBy": "alice", "priority": "high"}. I metadati sostituiscono il stateInfo.stateMetadata campo nel consiglio.
    • PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

    Metodo HTTP e URL: 

    POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded

    Corpo JSON della richiesta: 

    {
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}

    Per inviare la richiesta, espandi una di queste opzioni:

    La risposta mostra il consiglio in uno stato SUCCEEDED, come mostrato nell'esempio seguente. Per chiarezza, questo esempio omette la maggior parte dei campi: 

    {
  "description": "This role has not been used during the observation window.",
  "stateInfo": {
    "state": "SUCCEEDED",
    "stateMetadata": {
      "reviewedBy": "alice",
      "priority": "high"
    }
  },
  "etag": "\"dd0686e7136a4cbb\"",
  "recommenderSubtype": "REMOVE_ROLE"
}

    FAILED

    Per contrassegnare un consiglio come FAILED, a indicare che non è stato possibile applicarlo, utilizza il metodo recommendations.markFailed dell'API Recommender.

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire i consigli. Utilizza il valore projects, folders o organizations.
    • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi gestire i consigli. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
    • RECOMMENDATION_ID: l'identificatore univoco per il consiglio. Questo valore viene visualizzato alla fine del campo name nel consiglio. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID consiglio è fb927dc1-9695-4436-0000-f0f285007c0f.
    • ETAG: il valore del etag campo nel consiglio, ad esempio "dd0686e7136a4cbb". Utilizza i backslash per eseguire l'escapismo delle virgolette, ad esempio "\"df7308cca9719dcc\"".
    • STATE_METADATA: facoltativo. Un oggetto che contiene coppie chiave/valore con la tua scelta di metadati sul consiglio. Ad esempio, {"reviewedBy": "alice", "priority": "high"}. I metadati sostituiscono il stateInfo.stateMetadata campo nel consiglio.
    • PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

    Metodo HTTP e URL: 

    POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed

    Corpo JSON della richiesta: 

    {
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}

    Per inviare la richiesta, espandi una di queste opzioni:

    La risposta mostra il consiglio in uno stato FAILED, come mostrato nell'esempio seguente. Per chiarezza, questo esempio omette la maggior parte dei campi: 

    {
  "description": "This role has not been used during the observation window.",
  "stateInfo": {
    "state": "FAILED",
    "stateMetadata": {
      "reviewedBy": "alice",
      "priority": "high"
    }
  },
  "etag": "\"dd0686e7136a4cbb\"",
  "recommenderSubtype": "REMOVE_ROLE"
}

Informazioni sui consigli

Ogni consiglio include informazioni che ti aiutano a capire perché è stato fornito.

Console

Per aiutarti a capire il motivo per cui è stato fornito il consiglio, la console Google Cloud mostra l'utilizzo delle autorizzazioni del principale, come indicato dall'approfondimento sui criteri associato al consiglio. Ad esempio, potrebbe essere visualizzato un elenco come il seguente:

Per aiutarti a comprendere l'impatto dell'applicazione del consiglio, la console Google Cloud mostra anche un elenco di autorizzazioni codificate in base a colori e simboli. Questo elenco indica in che modo le autorizzazioni dell'entità cambieranno se applichi il consiglio. Ad esempio, potrebbe essere visualizzato un elenco come il seguente:

I tipi di autorizzazioni associate a ciascun colore e simbolo sono i seguenti:

  • Grigio senza simbolo: autorizzazioni presenti sia nel ruolo attuale dell'entità sia nei ruoli consigliati.

  • Rosso con un segno meno : autorizzazioni che fanno parte del ruolo attuale dell'entità, ma non dei ruoli consigliati perché l'entità non le ha utilizzate negli ultimi 90 giorni.

  • Verde con un segno Più : autorizzazioni che non sono nel ruolo corrente dell'entità, ma sono nei ruoli consigliati. Questo tipo di autorizzazione viene visualizzato solo nei suggerimenti per gli agenti di servizio.

  • Blu con un'icona di machine learning : Autorizzazioni presenti sia nel ruolo corrente del principale sia nei ruoli consigliati, non perché il principale le abbia utilizzate negli ultimi 90 giorni, ma perché Recommender ha determinato tramite il machine learning che è probabile che abbia bisogno di queste autorizzazioni in futuro.

Alcuni consigli sono associati anche a approfondimenti sul movimento laterale. Le informazioni sui movimenti laterali identificano i ruoli che consentono a un account di servizio in un progetto di simulare l'identità di un account di servizio in un altro progetto. Se un consiglio è associato a un'informazione sul movimento laterale, la console Google Cloud mostra anche quanto segue:

  • Il progetto di origine dell'account di servizio: il progetto in cui è stato creato l'account di servizio con autorizzazioni di rappresentazione.

  • Account di servizio che possono essere rappresentati in questo progetto: un elenco di tutti gli account di servizio nel progetto corrente che l'account di servizio con autorizzazioni di rappresentazione può simulare.

gcloud

Per informazioni dettagliate sui campi di un consiglio, consulta il riferimento Recommendation.

Per visualizzare l'utilizzo delle autorizzazioni su cui si basa questo consiglio, consulta gli approfondimenti sui criteri associati al consiglio. Questi approfondimenti sono elencati nel campo associatedInsights. Per visualizzare un approfondimento sulle norme associato al consiglio:

  • Identifica quali approfondimenti nel campo associatedInsights sono approfondimenti sui criteri. Gli insight sui criteri hanno il tipo di insight google.iam.policy.insight. Questo tipo viene visualizzato dopo insightTypes nel campo insight.
  • Copia l'ID dell'approfondimento sulle norme. L'ID è tutto ciò che segue insights/ nel insight campo. Nell'esempio precedente, l'ID insight è 279ef748-408f-44db-9a4a-1ff8865b9839.
  • Segui le istruzioni per ottenere un'informazione sulle norme utilizzando l'ID informazione che hai copiato.

Alcuni consigli sono associati anche ai suggerimenti per il movimento laterale, che identificano i ruoli che consentono agli account di servizio in un progetto di simulare l'identità di account di servizio in un altro progetto. Questi approfondimenti sono elencati anche nel campo associatedInsights. Per visualizzare un'informazione sul movimento laterale associata al consiglio:

  • Identifica quali approfondimenti nel campo associatedInsights sono informazioni sul movimento laterale. Gli insight sul movimento laterale hanno il tipo di insightgoogle.iam.policy.LateralMovementInsight. Questo tipo viene visualizzato dopo insightTypes nel campo insight.
  • Copia l'ID dell'approfondimento sulle norme. L'ID è tutto ciò che segue insights/ nel insight campo. Nell'esempio precedente, l'ID insight è 279ef748-408f-44db-9a4a-1ff8865b9839.
  • Segui le istruzioni per ottenere un'informazione sul movimento laterale utilizzando l'ID informazione che hai copiato.

REST

Per informazioni dettagliate sui campi di un consiglio, consulta il riferimento Recommendation.

Per visualizzare l'utilizzo delle autorizzazioni su cui si basa questo consiglio, consulta gli approfondimenti sui criteri associati al consiglio. Questi approfondimenti sono elencati nel campo associatedInsights. Per visualizzare un approfondimento sulle norme associato al consiglio:

  1. Identifica quali approfondimenti nel campo associatedInsights sono approfondimenti sui criteri. Gli insight sui criteri hanno il tipo di insight google.iam.policy.insight. Questo tipo viene visualizzato dopo insightTypes nel campo insight.
  2. Copia l'ID dell'approfondimento sulle norme. L'ID è tutto ciò che segue insights/ nel insight campo. Ad esempio, se il campo insight riporta projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839, l'ID informazione è 279ef748-408f-44db-9a4a-1ff8865b9839.
  3. Segui le istruzioni per ottenere un'informazione sulle norme utilizzando l'ID informazione che hai copiato.

Alcuni consigli sono associati anche ai suggerimenti per il movimento laterale, che identificano i ruoli che consentono agli account di servizio in un progetto di simulare l'identità di account di servizio in un altro progetto. Questi approfondimenti sono elencati anche nel campo associatedInsights. Per visualizzare un'informazione sul movimento laterale associata al consiglio:

  1. Identifica quali approfondimenti nel campo associatedInsights sono informazioni sul movimento laterale. Gli insight sul movimento laterale hanno il tipo di insightgoogle.iam.policy.LateralMovementInsight. Questo tipo viene visualizzato dopo insightTypes nel campo insight.
  2. Copia l'ID dell'approfondimento sulle norme. L'ID è tutto ciò che segue insights/ nel insight campo. Ad esempio, se il campo insight riporta projects/123456789012/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/13088eec-9573-415f-81a7-46e1a260e860, l'ID informazione è 13088eec-9573-415f-81a7-46e1a260e860.
  3. Segui le istruzioni per ottenere un'informazione sul movimento laterale utilizzando l'ID informazione che hai copiato.

Visualizzare, ripristinare e ripristinare le modifiche

Dopo aver applicato o ignorato un consiglio per un'associazione di ruoli a livello di progetto, l'azione viene visualizzata nella cronologia dei consigli.

Per visualizzare la cronologia dei consigli:

  1. Nella console Google Cloud, vai alla pagina IAM.

    Vai a IAM

  2. Seleziona un progetto, una cartella o un'organizzazione.

  3. Nella parte superiore dello schermo, fai clic su Cronologia dei consigli.

    La console Google Cloud mostra un elenco di azioni precedenti sui consigli per i ruoli.

  4. Per visualizzare i dettagli di un consiglio, fai clic sulla freccia di espansione .

    La console Google Cloud mostra i dettagli dell'azione intrapresa, incluso il principale che ha intrapreso l'azione:

  5. (Facoltativo) Se necessario, puoi annullare il consiglio, annullando così le modifiche apportate, o ripristinare un consiglio che hai ignorato.

    Per annullare una modifica applicata in precedenza a un consiglio, fai clic su Ripristina. La console Google Cloud ripristina le modifiche ai ruoli del principale. Il consiglio non viene più visualizzato nella console Google Cloud.

    Per ripristinare un consiglio ignorato, fai clic su Ripristina. Il consiglio diventa visibile nella pagina IAM della console Google Cloud. Non vengono modificati ruoli o autorizzazioni.

Passaggi successivi